分享:利用ARP技术检测网络中混杂模式的节点

菜鸟人飞 · 发表于 2006-6-27 11:44:40

我们都知道，网络中的嗅探软件都要将网卡置为混杂模式工作的。
那么如果我们知道网络中哪些网卡工作在混杂模式，那么就相应地知道了哪些主机在运行嗅探软件，呵呵。

下面我们就使用ARP技术来查找网络中基于混杂模式的节点。

附件中有两个文件，一个是DOC，一个是对应的PPT。

注意：此种情况只适用于通常检测通常嗅探软件（网络分析软件）的部署情况。
有些高级专业部署基本上都会基于两块网卡，一块网卡不配置IP地址，用于嗅探（置为混杂模式），另一块网卡配置IP地址，但是不进行嗅探（不置为混杂模式），在这种情况下，上面的方法就不能进行有效检测。

jiesen · 发表于 2006-6-27 20:58:43

什么时候做实验测试一下！呵呵

ValorZ · 发表于 2006-6-28 10:23:08

总结一下那文章
就是发送到 FF:FF:FF:FF:FF:FE的arp请求，通常情况下是没有arp replay的，但是promisc下却返回arp replay。通过这一点确定一块NIC的工作模式

菜鸟人飞 · 发表于 2006-6-28 10:27:28

一针见血点出精髓，加分鼓励！

1259 · 发表于 2006-6-29 19:39:36

假如混杂模式的网卡在抓包前把TCP/IP协议勾选掉，只保留sniffer的驱动，会有影响么？或者说这种方法就无法测试了．．．．

789stiff · 发表于 2006-7-7 17:17:42

kan kan kan

yuxi1016 · 发表于 2006-7-11 21:38:38

看看，是不是这样可以检测arp病毒了，网吧的杀手啊

jlspllp · 发表于 2006-7-11 21:53:08

!!!!!!!!!!!!!!!

peterhu318 · 发表于 2006-7-12 00:22:52

非常好的资料，建议网络工程师进行收藏：

下面是我用nemesis做的一个测试，结果非常明确的证明了原理的正确性（也是从试验得来的）：

测试192.168.1.8是否处于混杂模式（在HUB状态下，如果在交换机状态下，需要将arp内的源MAC正确填写，以太网的源MAC可以乱填）

nemesis arp -v -S 192.168.1.22 -D 192.168.1.8 -h 00:00:00:00:00:11 -d 1 -H 00:11:22:33:44:55 -M ff:ff:ff:ff:ff:fe

goushi · 发表于 2006-7-20 14:31:22

不懂

看来很需要学习

netpig · 发表于 2006-7-20 14:47:42

下载学习　　　　　　　　　　　　　

jewel · 发表于 2006-8-9 14:52:29

好像很深但我会认真学习谢谢

aquleo · 发表于 2006-8-10 15:56:06

Very Good!!
Thanks for sharing!1

yuwenguxin · 发表于 2006-9-9 04:24:00

.........................

zhang_ming · 发表于 2006-9-9 14:44:04

不懂就要学要问

真不懂,郁闷

逍遥一指令 · 发表于 2007-1-16 11:52:39

不知道是否可以用科来来做实例讲解

huang143 · 发表于 2007-1-17 14:57:41

得好好地认真学习，谢谢

yekid · 发表于 2008-6-18 21:27:02

davy2495 · 发表于 2008-6-21 13:37:57

不错啊``唉``昨天能看见就好了``正是在找这个东西``呵呵``

分享:利用ARP技术检测网络中混杂模式的节点

本帖子中包含更多资源

评分

!!!!!!!!!!!!!!!